サイバーセキュリティ監査に向けてどのような準備が必要か？

サイバーセキュリティ監査を予定している企業に役立つ、監査の効果を最適化するためのベストプラクティスを解説しています。第三者が実施する外部監査は高額になりがちです。提案するベストプラクティスに沿って可能な限りの準備をしておくことをお勧めします。

サイバーセキュリティ監査とは、企業が想定されるすべてのリスクに対処するためのセキュリティポリシーを備えているかどうかをチェックし、検証する手法です。監査は、外部組織への準備として、内部スタッフが行うこともできます。 組織が、EU一般データ保護規則（GDPR）、カリフォルニア消費者プライバシー法（CCPA）、Payment Card Industry Data Security Standard（PCI DSS）、Health Insurance Portability and Accountability Act（ HIPAA）「医療保険の相互運用性と説明責任に関する法律」、ISO 27001などの規制要件の対象となっている場合は、外部監査人を雇ってコンプライアンスを検証し、認証を受ける必要があります。

サイバーセキュリティ監査は、サイバーセキュリティ評価とは異なります。監査は、特定のリスクに対処していることを検証するチェックリストで構成されているのに対し、アセスメントは、リスクがどれだけうまく実装されているかをテストするものです。

サイバーセキュリティ監査の準備について詳細な情報を提供している出版物は数多くありますが、以下では外部監査に備えて必要なポイントをまとめています。

すべての組織は、組織のITインフラ、特に機密データや個人情報の取り扱いに関するルールと手順を明記したセキュリティポリシーを策定する必要があります。以前にこれらのポリシーを策定した場合は、今こそ、データの機密性、データの完全性、およびデータへの安全なアクセスを確保するために、自社の業界および適用されるコンプライアンス要件に関連して、ポリシーを見直す必要があります。例えば、セキュリティポリシーには以下の項目が含まれます。

• 何を保護するか？（例：データ、ビジネスアプリケーション、ハードウェアなど）
• どのように保護するのか。（例：パスワードの使用など）
• データへのアクセスをどのように監視し、ロックするのか。
• 個人情報や機密データをどのように保護するか。
• データの正確性と完全性をどのように維持するか。
• アーカイブされたデータをどのように保護するか。

組織のセキュリティポリシーの準備および見直しに役立つ情報として、米国標準技術研究 所（NIST）の「サイバーセキュリティ・フレームワーク」を参照することができます。

「NISTフレームワークは、組織がサイバーセキュリティのリスクをより適切に管理・低減するための、既存の標準、ガイドライン、およびプラクティスに基づく自主的なガイダンスです。組織がリスクを管理・削減することに加えて、組織の内外の利害関係者の間でリスクおよびサイバーセキュリティ管理のコミュニケーションを促進し、サイバー攻撃を防止・検知・対応する能力を向上させることを目的としています。」

おそらく、異なる時期に異なる個人によって作成された様々なセキュリティポリシーがあることでしょう。今こそこれらのポリシーを見直し、一貫性があることを確認するためにクロスリファレンスを行うべきです。例えば、バックアップポリシーで30日ごとにバックアップを取ることになっている場合、そのバックアップに依存しているディザスタリカバリポリシーの RPO（Recovery Point Objectives、「目標復旧地点」）を満たすことができない可能性があります。災害が発生した場合、最大で30日分のデータが失われる可能性があります。多要素認証を使用していないシステムの場合、パスワードポリシーでは、非常に強力なパスワードを要求し、頻繁に変更する必要があります。

これらのセキュリティポリシーの例としては、以下のものがあります。

データセキュリティポリシー。機密データを覗き見されないようにするにはどうすればよいでしょうか。

データプライバシー・ポリシー。個人的なデータをどのように秘密にしておけばよいでしょうか。

ネットワークアクセスコントロール。権限を持ち、セキュリティポリシーに準拠したデバイスのみに、ネットワークアクセスをどのように制限していますか？ネットワーク機器には、必要なセキュリティパッチやサイバーセキュリティ対策が施されていますか。

バックアップポリシー。システム、アプリケーション、およびデータを、いつ、どのようにバックアップしていますか。

パスワードポリシー。組織のパスワードポリシーはどのようなもので、どのように管理していますか。

災害復旧ポリシー。システムとデータを確実に回復するために、ディザスタリカバリ計画は定期的に実施・更新されていますか？目標復旧時間（RTO）と目標復旧地点（RPO） を満たすことができますか。

リモートワークのポリシー。リモートワーカーのデバイスのセキュリティと保護をどのように確保していますか。

従業員の電子メールとインターネットに関するポリシー。従業員が電子メールや会社のイ ンターネットをビジネスのために使用し、個人的なコミュニケーションやデータ、ファイルが 秘密にされているという期待を持たないようにするにはどうしたらよいでしょうか。また、嫌がらせや脅迫、不快感を与えるようなメールを送信してはならないことを、従業員が理解していることを確認するにはどうすればよいでしょうか。

アクセプタブルユースポリシー。従業員が企業ネットワークへのアクセスを許可される前に、どのような手続きに同意しなければなりませんか。

安全なネットワークトポロジーの構造と設計を行うことが重要です。例えば、ネットワークを細分化する場合、財務部門のサーバーを研究開発部門や人事部門のサーバーと同じネットワークやサブネットワークに置くべきではありません。むしろ、ネットワークを小さなゾーンに分割することで、機密情報を含むサービスが区分けされ、セキュリティが強化されます。また、ファイアウォールやその他のネットワークセキュリティツールが導入されているかどうかを確認してください。

GDPR、PCI、HIPAAなどの規制を受けている場合は、適用される規制に準拠していることを確認し、この話題を監査人との会話の一部にしてください。監査人はおそらく、適用されるコンプライアンス規制についてあなたのチームにアプローチするでしょうから、コンプライアンスを証明する文書を準備しておいてください。

監査に先立ち、従業員の電子メールとインターネットに関するポリシーが全従業員に理解され、遵守されているかどうかを必ず確認してください。例えば、従業員はギャンブルや ポルノサイトなど、犯罪や不快な内容を含むウェブサイトを閲覧すべきではありません。従業員は、著作権法に違反するコンテンツを保存してはいけません。従業員は、会社の電子メールアドレスを個人的な仕事に使用してはいけません。組織は、従業員が送信した電子メールや、従業員のマシンに保存されているコンテンツを確認し、マルウェア、詐欺、職場 でのハラスメントなどをチェックする権利を有します。

外部監査を開始する前に、上述のベストプラクティスに従って内部監査を実施し、コンプライアンス違反やセキュリティギャップをテストすることを強く推奨します。内部のサイバーセキュリティ監査では、ポリシー、プロセス、コントロールの手動レビューと、主要なインフラストラクチャやセキュリティシステムの自動レビューを組み合わせることができます。

内部監査を実施する理由は2つあります。まず、外部監査は、数万ドルから数十万ドルと非常に高額な費用がかかります。外部監査の費用をかける前に、自社のコンプライアンス体制を把握しておくことで、問題点を事前に解決することができます。また、外部監査に伴うストレスを軽減し、不測の事態を回避することができます。

Acronis Cyber Protectでは、マシンにインストールされているすべてのソフトウェアとハードウェアの資産を、自動スキャンとオンデマンド・スキャンのいずれかを選択して検出することができます。さらに、ソフトウェアまたはハードウェア資産を複数の条件で閲覧・フィルタリングしたり、インベントリレポートを簡単に作成したり、マシンが削除されると記録を自動削除したりすることができます。

コンプライアンス監査に合格するためには、組織はさまざまなサイバーセキュリティ技術やツールを使用して、システムのバックアップ、ウイルス対策ソフトウェア、災害復旧などの重要なコンプライアンス要件をサポートする必要があります。多くのセキュリティソフトウェアプロバイダーは、これらをポイントソリューションとして提供しています。実際、アクロニスが毎年実施している「Cyber Protection Week」の2021調査によると、80%の組織がデータ保護とサイバーセキュリティのニーズに対して10ものソリューションを同時に実行しているにもかかわらず、それらの組織の半数以上が昨年、データ損失のために予期せぬダウンタイムに見舞われています。この調査から得られた教訓は、ソリューションの数が多ければ多いほど保護できるわけではないということです。

アクロニスは、複数のソリューションを使用することで生じるコスト、非効率性、およびセキュリティ上の課題を認識しています。そのため、サイバー保護分野のパイオニアであるアクロニスは、単一の統合サイバーセキュリティソリューションを提供しています。

Acronis Cyber Protectは、バックアップとデータ保護、次世代のAIベースのアンチマルウェア、保護管理を1つの統合されたソリューションにまとめ、現代の脅威に対する完全なサイバー保護を実現する唯一のソリューションです。このソリューションは、バックアップ、アンチウイルス、パッチ管理、リモートアクセス、ワークロード管理、監視、レポートツールなどのセキュリティツールや技術をバンドルしただけの他のセキュリティソリューションや、孤立したレガシーなポイントソリューションとは異なります。Acronis Cyber Protectは、これらすべてのテクノロジーを1つのソリューションにパッケージ化しており、外部のサイバーセキュリティ監査に備えることができます。